Privilegieneskalationsangriffe treten auf, wenn Angreifer Fehlkonfigurationen, Fehler, schwache Kennwörter und andere Schwachstellen ausnutzen, die ihnen den Zugriff auf geschützte Assets ermöglichen.
Ein typischer Exploit kann damit beginnen, dass der Angreifer zuerst Zugriff auf ein Konto mit niedrigen Berechtigungen erhält. Nach der Anmeldung untersuchen Angreifer das System, um andere Schwachstellen zu identifizieren, die sie weiter ausnutzen können. Anschließend verwenden sie die Berechtigungen, um sich als die tatsächlichen Benutzer auszugeben, Zugriff auf Zielressourcen zu erhalten und verschiedene Aufgaben unentdeckt auszuführen.
Privilegieneskalationsangriffe sind entweder vertikal oder horizontal.
Bei einem vertikalen Typ erhält der Angreifer Zugriff auf ein Konto und führt dann Aufgaben als dieser Benutzer aus. Beim horizontalen Typ verschafft sich der Angreifer zunächst Zugriff auf ein oder mehrere Konten mit eingeschränkten Rechten und kompromittiert dann das System, um mehr Berechtigungen zur Ausführung administrativer Rollen zu erhalten.
Solche Berechtigungen ermöglichen es den Angreifern, administrative Aufgaben auszuführen, Malware bereitzustellen oder andere unerwünschte Aktivitäten auszuführen. Beispielsweise können sie den Betrieb stören, Sicherheitseinstellungen ändern, Daten stehlen oder die Systeme so kompromittieren, dass sie Hintertüren offen lassen, um sie in Zukunft auszunutzen.
Im Allgemeinen nutzt die Rechteausweitung genau wie die Cyberangriffe die System- und Prozessschwachstellen in den Netzwerken, Diensten und Anwendungen aus. Daher ist es möglich, sie durch den Einsatz einer Kombination aus bewährten Sicherheitspraktiken und Tools zu verhindern. Ein Unternehmen sollte idealerweise Lösungen bereitstellen, die eine breite Palette potenzieller und bestehender Sicherheitslücken und Bedrohungen scannen, erkennen und verhindern können.
Inhaltsverzeichnis
Best Practices zum Verhindern von Privilegieneskalationsangriffen
Unternehmen müssen alle ihre kritischen Systeme und Daten sowie andere Bereiche schützen, die für Angreifer unattraktiv erscheinen könnten. Ein Angreifer muss lediglich in ein System eindringen. Sobald sie sich darin befinden, können sie nach Schwachstellen suchen, die sie weiter ausnutzen, um zusätzliche Berechtigungen zu erhalten. Neben dem Schutz der Assets vor externen Bedrohungen ist es ebenso wichtig, genügend Maßnahmen zu ergreifen, um interne Angriffe zu verhindern.
Während die tatsächlichen Maßnahmen je nach Systemen, Netzwerken, Umgebung und anderen Faktoren unterschiedlich sein können, sind im Folgenden einige Techniken aufgeführt, mit denen Organisationen ihre Infrastruktur sichern können.
Schützen und scannen Sie Ihr Netzwerk, Ihre Systeme und Anwendungen
Neben dem Einsatz einer Echtzeit-Sicherheitslösung ist es unerlässlich, alle Komponenten der IT-Infrastruktur regelmäßig auf Schwachstellen zu scannen, die das Eindringen neuer Bedrohungen ermöglichen könnten. Zu diesem Zweck können Sie einen effektiven Schwachstellen-Scanner verwenden, um ungepatchte und unsichere Betriebssysteme und Anwendungen, Fehlkonfigurationen, schwache Passwörter und andere Schwachstellen zu finden, die Angreifer ausnutzen können.
Während Sie verschiedene Schwachstellenscanner verwenden können, um Schwachstellen in veralteter Software zu identifizieren, ist es normalerweise schwierig oder nicht praktikabel, alle Systeme zu aktualisieren oder zu patchen. Dies ist insbesondere dann eine Herausforderung, wenn es sich um Legacy-Komponenten oder große Produktionssysteme handelt.
Für solche Fälle können Sie zusätzliche Sicherheitsebenen wie Web Application Firewalls (WAF) bereitstellen, die schädlichen Datenverkehr auf Netzwerkebene erkennen und stoppen. In der Regel schützt die WAF das zugrunde liegende System, selbst wenn es nicht gepatcht oder veraltet ist.
Korrekte Berechtigungskontoverwaltung
Es ist wichtig, die privilegierten Konten zu verwalten und sicherzustellen, dass sie alle sicher sind, gemäß den Best Practices verwendet und nicht offengelegt werden. Die Sicherheitsteams müssen eine Bestandsaufnahme aller Konten haben, wo sie existieren und wofür sie verwendet werden.
Andere Maßnahmen umfassen
- Minimierung der Anzahl und des Umfangs der privilegierten Konten, Überwachung und Protokollierung ihrer Aktivitäten.
- Analysieren jedes privilegierten Benutzers oder Kontos, um Risiken, potenzielle Bedrohungen, Quellen und Absichten des Angreifers zu identifizieren und anzugehen
- Wichtige Angriffsmodi und Präventionsmaßnahmen
- Befolgen Sie das Prinzip der geringsten Rechte
- Verhindern Sie, dass Administratoren Konten und Anmeldeinformationen freigeben.
Überwachen Sie das Benutzerverhalten
Durch die Analyse des Benutzerverhaltens kann festgestellt werden, ob es kompromittierte Identitäten gibt. Normalerweise zielen die Angreifer auf die Benutzeridentitäten ab, die Zugriff auf die Systeme der Organisation gewähren. Wenn es ihnen gelingt, die Anmeldeinformationen zu erhalten, melden sie sich beim Netzwerk an und bleiben möglicherweise einige Zeit unentdeckt.
Da es schwierig ist, das Verhalten jedes Benutzers manuell zu überwachen, ist der beste Ansatz die Bereitstellung einer User and Entity Behavior Analytics (UEBA)-Lösung. Ein solches Tool überwacht die Benutzeraktivität im Laufe der Zeit kontinuierlich. Anschließend erstellt es eine legitime Verhaltensbaseline, die es verwendet, um ungewöhnliche Aktivitäten zu entdecken, die auf eine Kompromittierung hinweisen.
Das resultierende Profil enthält Informationen wie Standort, Ressourcen, Dateien und Dienste, auf die der Benutzer zugreift, und Häufigkeit, die spezifischen internen und externen Netzwerke, die Anzahl der Hosts sowie die ausgeführten Prozesse. Mit diesen Informationen kann das Tool verdächtige Aktionen oder Parameter identifizieren, die von der Baseline abweichen.
Starke Passwortrichtlinien und -durchsetzung
Richten Sie strenge Richtlinien ein und setzen Sie diese durch, um sicherzustellen, dass die Benutzer eindeutige und schwer zu erratende Passwörter haben. Darüber hinaus fügt die Verwendung einer Multi-Faktor-Authentifizierung eine zusätzliche Sicherheitsebene hinzu und überwindet gleichzeitig die Schwachstellen, die entstehen können, wenn es schwierig ist, starke Kennwortrichtlinien manuell durchzusetzen.
Sicherheitsteams sollten auch die erforderlichen Tools wie Passwort-Auditoren, Policy Enforcer und andere einsetzen, die Systeme scannen, schwache Passwörter identifizieren und kennzeichnen oder zum Handeln auffordern können. Die Durchsetzungstools stellen sicher, dass Benutzer starke Passwörter in Bezug auf Länge, Komplexität und Unternehmensrichtlinien haben.
Unternehmen können auch Enterprise-Passwortverwaltungstools verwenden, um Benutzern dabei zu helfen, komplexe und sichere Passwörter zu generieren und zu verwenden, die den Richtlinien für Dienste entsprechen, die eine Authentifizierung erfordern.
Zusätzliche Maßnahmen wie die Multi-Faktor-Authentifizierung zum Entsperren des Passwort-Managers erhöhen die Sicherheit weiter und machen es Angreifern nahezu unmöglich, auf die gespeicherten Zugangsdaten zuzugreifen. Typische Passwort-Manager für Unternehmen sind z Hüter, Dashlane, 1Passwort.
Bereinigen Sie Benutzereingaben und sichern Sie die Datenbanken
Die Angreifer können anfällige Benutzereingabefelder sowie Datenbanken verwenden, um bösartigen Code einzuschleusen, sich Zugriff zu verschaffen und die Systeme zu kompromittieren. Aus diesem Grund sollten Sicherheitsteams Best Practices wie starke Authentifizierung und effektive Tools verwenden, um die Datenbanken und alle Arten von Dateneingabefeldern zu schützen.
Eine bewährte Vorgehensweise besteht darin, alle Daten während der Übertragung und im Ruhezustand zusätzlich zum Patchen der Datenbanken und zum Bereinigen aller Benutzereingaben zu verschlüsseln. Zusätzliche Maßnahmen umfassen das Belassen von Dateien mit Nur-Lesen-Zugriff und das Gewähren von Schreibzugriff für die Gruppen und Benutzer, die sie benötigen.
Benutzer schulen
Die Benutzer sind das schwächste Glied in der Sicherheitskette einer Organisation. Daher ist es wichtig, sie zu befähigen und darin zu schulen, ihre Aufgaben sicher auszuführen. Andernfalls kann ein einziger Klick eines Benutzers zur Kompromittierung eines gesamten Netzwerks oder Systems führen. Einige der Risiken umfassen das Öffnen bösartiger Links oder Anhänge, den Besuch kompromittierter Websites, die Verwendung schwacher Passwörter und vieles mehr.
Idealerweise sollte die Organisation über regelmäßige Sicherheitsbewusstseinsprogramme verfügen. Außerdem sollten sie über eine Methodik verfügen, um zu überprüfen, ob das Training effektiv ist.
Tools zur Verhinderung von Rechteausweitungsangriffen
Das Verhindern von Privilegien-Eskalationsangriffen erfordert eine Kombination von Tools. Dazu gehören unter anderem die nachstehenden Lösungen.
User and Entity Behavior Analytics-Lösung (UEBA)
Prüfbalken
Das Exabeam Security Management-Plattform ist eine schnell und einfach zu implementierende KI-basierte Verhaltensanalyselösung, die dabei hilft, Benutzer- und Kontoaktivitäten über verschiedene Dienste hinweg zu verfolgen. Sie können Exabeam auch verwenden, um die Protokolle von anderen IT-Systemen und Sicherheitstools aufzunehmen, sie zu analysieren und riskante Aktivitäten, Bedrohungen und andere Probleme zu identifizieren und zu kennzeichnen.
Features sind
- Protokollierung und Bereitstellung nützlicher Informationen für Vorfalluntersuchungen. Dazu gehören alle Sitzungen, bei denen ein bestimmtes Konto oder ein bestimmter Benutzer zum ersten Mal auf einen Dienst, Server oder eine Anwendung oder Ressource zugegriffen hat, Kontoanmeldungen über eine neue VPN-Verbindung, aus einem ungewöhnlichen Land usw
- Die skalierbare Lösung ist für Einzelinstanz-, Cloud- und On-Premise-Bereitstellungen anwendbar
- Erstellt eine umfassende Zeitleiste, die den vollständigen Weg eines Angreifers basierend auf dem normalen und abnormalen Konto- oder Benutzerverhalten klar zeigt.
Cynet 360
Das Cynet 360-Plattform ist eine umfassende Lösung, die Verhaltensanalysen, Netzwerk- und Endpunktsicherheit bietet. Sie können damit Benutzerprofile erstellen, einschließlich ihrer Geolokalisierungen, Rollen, Arbeitszeiten, Zugriffsmuster auf lokale und cloudbasierte Ressourcen usw.
Die Plattform hilft, ungewöhnliche Aktivitäten zu identifizieren, wie z.
- Erstmalige Anmeldungen am System oder an Ressourcen
- Ungewöhnlicher Anmeldeort oder Verwendung einer neuen VPN-Verbindung
- Mehrere gleichzeitige Verbindungen zu mehreren Ressourcen innerhalb kürzester Zeit
- Konten, die außerhalb der Geschäftszeiten auf Ressourcen zugreifen
Passwort-Sicherheits-Tools
Passwortprüfer
Das Passwortprüfer Tools scannen die Hostnamen und IP-Adressen, um automatisch schwache Anmeldeinformationen für Netzwerkdienste und Webanwendungen wie HTTP-Webformulare, MYSQL, FTP, SSH, RDP, Netzwerkrouter und andere zu identifizieren, die eine Authentifizierung erfordern. Es versucht dann, sich mit den schwachen und den üblichen Kombinationen aus Benutzername und Passwort anzumelden, um Konten mit schwachen Anmeldeinformationen zu identifizieren und vor ihnen zu warnen.
Passwort-Manager Pro
Das ManageEngine Passwort-Manager Pro bietet Ihnen eine umfassende Lösung zur Verwaltung, Kontrolle, Überwachung und Prüfung des privilegierten Kontos während seines gesamten Lebenszyklus. Es kann das privilegierte Konto, das SSL-Zertifikat, den Fernzugriff sowie die privilegierte Sitzung verwalten.
Features sind
- Automatisiert und erzwingt häufige Kennwortzurücksetzungen für kritische Systeme wie Server, Netzwerkkomponenten, Datenbanken und andere Ressourcen
- Speichert und organisiert alle privilegierten und vertraulichen Kontoidentitäten und Passwörter in einem zentralen und sicheren Tresor.
- Ermöglicht Unternehmen, die kritischen Sicherheitsaudits sowie die Einhaltung gesetzlicher Standards wie HIPAA, PCI, SOX und mehr zu erfüllen
- Ermöglicht Teammitgliedern, Administratorpasswörter sicher zu teilen.
Schwachstellen-Scanner
Invicti
Invicti ist ein skalierbarer, automatisierter Schwachstellen-Scanner und eine Verwaltungslösung, die skaliert werden kann, um die Anforderungen jeder Organisation zu erfüllen. Das Tool kann komplexe Netzwerke und Umgebungen scannen und sich nahtlos in andere Systeme integrieren, einschließlich CI/CD-Lösungen, SDLC und andere. Es verfügt über erweiterte Funktionen und ist optimiert, um Schwachstellen in komplexen Umgebungen und Anwendungen zu scannen und zu identifizieren.
Darüber hinaus können Sie Invicti verwenden, um die Webserver auf Sicherheitsfehlkonfigurationen zu testen, die Angreifer ausnutzen können. Im Allgemeinen identifiziert das Tool SQL-Injektionen, Remote-Dateieinschluss, Cross-Site-Scripting (XSS) und andere OWASP-Top-10-Schwachstellen in Webanwendungen, Webdiensten, Webseiten, APIs und mehr.
Acunetix
Acunetix ist eine umfassende Lösung mit integriertem Schwachstellenscan, Verwaltung und einfacher Integration mit anderen Sicherheitstools. Es hilft bei der Automatisierung von Aufgaben des Schwachstellenmanagements wie Scannen und Beheben, wodurch Sie Ressourcen sparen können.
Features sind;
- Integriert sich in andere Tools wie Jenkins, Issue-Tracker von Drittanbietern wie GitHub, Jira, Mantis und mehr.
- On-Premise- und Cloud-Bereitstellungsoptionen
- Anpassbar an die Umgebung und Anforderungen des Kunden sowie plattformübergreifende Unterstützung.
- Identifizieren und reagieren Sie schnell auf eine Vielzahl von Sicherheitsproblemen, darunter häufige Webangriffe, Cross-Site-Scripting (XSS), SQL-Injections, Malware, Fehlkonfigurationen, exponierte Assets usw.
Privileged Access Management (PAM)-Softwarelösungen
JumpCloud
Sprungwolke ist eine Directory-as-a-Service-Lösung (DaaS), die Benutzer sicher authentifiziert und mit Netzwerken, Systemen, Diensten, Apps und Dateien verbindet. Im Allgemeinen ist das skalierbare, Cloud-basierte Verzeichnis ein Dienst, der Benutzer, Anwendungen und Geräte verwaltet, authentifiziert und autorisiert.
Features sind;
- Es erstellt ein sicheres und zentralisiertes autoritatives Verzeichnis
- Unterstützt plattformübergreifendes Benutzerzugriffsmanagement
- Bietet Single-Sign-On-Funktionen, die die Steuerung des Benutzerzugriffs auf Anwendungen über LDAP, SCIM und SAML 2.0 unterstützen
- Bietet sicheren Zugriff auf lokale und Cloud-Server
- Unterstützt Multi-Faktor-Authentifizierung
- Verfügt über eine automatisierte Verwaltung von Sicherheits- und verwandten Funktionen wie Ereignisprotokollierung, Skripterstellung, API-Verwaltung, PowerShell und mehr
Ping-Identität
Ping-Identität ist eine intelligente Plattform, die Multi-Faktor-Authentifizierung, Single Sign-On, Verzeichnisdienste und mehr bietet. Es ermöglicht Unternehmen, die Sicherheit und Erfahrung der Benutzeridentität zu verbessern.
Merkmale
- Einmaliges Anmelden, das eine sichere und zuverlässige Authentifizierung und Zugriff auf Dienste bietet
- Multi-Faktor-Authentifizierung, die zusätzliche Sicherheitsebenen hinzufügt
- Verbesserte Datenverwaltung und Fähigkeit zur Einhaltung von Datenschutzbestimmungen
- Ein Verzeichnisdienst, der eine sichere Verwaltung von Benutzeridentitäten und Daten in großem Umfang bietet
- Flexible Cloud-Bereitstellungsoptionen wie Identity-as-a-Service (IDaaS), containerisierte Software usw.
Fuchspass
Fuchspass ist eine skalierbare Identitäts- und Zugriffskontrolllösung der Enterprise-Klasse für On-Premise- und Cloud-Bereitstellungen. Es bietet RADIUS-, LDAP- und SSH-Schlüsselverwaltungsfunktionen, die sicherstellen, dass jeder Benutzer nur zur erlaubten Zeit auf bestimmte Netzwerke, Server, VPNs und andere Dienste zugreift.
Das Tool lässt sich nahtlos in andere Dienste wie Office 365, Google Apps und mehr integrieren.
AWS-Secrets-Manager
AWS-Secrets-Manager bietet Ihnen ein zuverlässiges und effektives Mittel, um die Geheimnisse zu sichern, die für den Zugriff auf den Dienst, Anwendungen und andere Ressourcen erforderlich sind. Es ermöglicht Ihnen, die API-Schlüssel, Datenbankanmeldeinformationen und andere Geheimnisse einfach zu verwalten, zu rotieren und abzurufen.
Es gibt noch mehr Geheimverwaltungslösungen, die Sie erkunden können.
Fazit
Genau wie die Cyberangriffe nutzt die Rechteausweitung das System aus und verarbeitet Schwachstellen in den Netzwerken, Diensten und Anwendungen. Daher ist es möglich, sie durch den Einsatz der richtigen Sicherheitstools und -praktiken zu verhindern.
Zu den wirksamen Maßnahmen gehören die Durchsetzung der geringsten Rechte, starker Passwörter und Authentifizierungsrichtlinien, der Schutz vertraulicher Daten, die Reduzierung der Angriffsfläche, die Sicherung der Anmeldeinformationen der Konten und vieles mehr. Weitere Maßnahmen umfassen die Aktualisierung und Aktualisierung aller Systeme, Software und Firmware, die Überwachung des Benutzerverhaltens und die Schulung von Benutzern in sicheren Computerpraktiken.